新シリーズの開幕です!
#KEEP LEARNING #STAY HOME
情報処理技術者試験 セキュリティマネジメント令和
元年秋午前問題(全50問)を解いていきます。
※レベルとしては応用情報のセキュリティくらいはあると
思います。結構難しいですよ。
問題の解き方や考え方をわかりやすく、解説してみる
連載です。
※問題の引用についてはIPAのルールを遵守しています。
問1
BEC(Business E-mail Compromise)に該当するもの
はどれか。
ア 巧妙なだましの手口を駆使し、取引先になりすま
して偽の電子メールを送り、金銭をだまし取る。
イ 送信元を攻撃対象の組織のメールアドレスに詐称
し、多数の実在しないメールアドレスに一度に大
量の電子メールを送り、攻撃対象の組織のメール
アドレスを故意にブラックリストに登録させて利
用を阻害する。
ウ 第三者からの電子メールが中継できるように設定
されたメールサーバを、スパムメールの中継に悪
用する。
エ 誹誘中傷メールの送信元を攻撃対象の組織のメー
ルアドレスに詐称し、組織の社会的な信用を大き
く損なわせる。
問2
参加組織及びそのグループ企業において検知されたサ
イバー攻撃などの情報を、IPAが情報ハブになって
集約し、参加組織間で共有する取組はどれか。
ア CRYPTREC
イ CSIRT
ウ J−CSIP
エ JISEC
問3
JIS Q 27001:2014(情報セキュリテ
ィマネジメントシステム−要求事項)において、リス
クを受容するプロセスに求められるものはどれか。
ア 受容するリスクについては、リスク所有者が承認
すること
イ 受容するリスクを監視やレビューの対象外とする
こと
ウ リスクの受容は、リスク分析前に行うこと
エ リスクを受容するかどうかは、リスク対応後に決
定すること
(解答と解説)
問1
BECはビジネスメール詐欺のことでし。
ア 巧妙なだましの手口を駆使し、取引先になりすま
して偽の電子メールを送り、金銭をだまし取る。
問2
IPA関連組織問題です。毎回何かしら出ますね。
ウ J−CSIP
問3
リスクを受容するとは、わかっていながら見逃すこと。
そのプロセスに求められるものはどれか?と聞いてま
す。
ア 受容するリスクについては、リスク所有者が承認
すること
これ以外はできないんですよね。